آسیبپذیری های بحرانی در محصولات سیسکو وصله شد
چند آسیبپذیری در محصولات مختلف Cisco وصله شدند. Cisco اعلام کرده است که تا کنون سو استفادهای از این آسیبپذیریها صورت نگرفته است.
چند آسیبپذیری در محصولات مختلف Cisco وصله شدند. Cisco اعلام کرده است که تا کنون سو استفادهای از این آسیبپذیریها صورت نگرفته است. برای حفظ امنیت به سرعت دستگاه های خود را به آخرین نسخه بهروزرسانی کنید. |
سیسکو همچنین برای سه نقص امنیتی متوسط ??امنیتی در ارائه خدمات امنیتی شبکه خود و یک اشکال خطرناک در پلتفرم روتر اپراتور تلفن همراه، StarOS وصله منتشر کرد. |
طیف وسیعی از مشتریان میتوانند توسط یک نقص امنیتی خطرناک کشف شده در تلفن های VoIP سیسکو تحت تاثیر قرار بگیرند. |
سیسکو همچنین برای نرمافزار مدیریتی FireSight برای امنیت شبکه، دو نقص امنیتی متوسط ??را برطرف کرد. و یک نقص متوسط ??در Web Security Appliance و در نهایت، اشکال خطرناک در پلتفرم روتر اپراتورهای تلفن همراه، StarOS را برطرف کرد. |
مهم ترین نقص CVE-2018-0341 ، امکان اجرای دستور و اجرای کد از راه دور در تلفن های IP از جمله مدل های بالاتر که دارای قابلیت تماس ویدیویی HD می باشند را فراهم می کند. یک کاربر تأیید شده می تواند دستورات خاصی را با استفاده از رابط کاربری مبتنی بر وب که به گوشی ها متصل است به یک فیلد ارسال کند. این می تواند منجر به توانایی تزریق و اجرای دستورات دلخواه شود، و راه را برای مهاجمان برای استراق مکالمات، ردیابی اطلاعات، ایجاد مکالمات تلفنی و غیره باز کند. |
آسیب پذیری که توسط Cisco به طور داخلی یافت شده است، بر روی دستگاه های سری 6800، 7800 و 8800 که نسخه firmware آنها قدیمیتر از 11.2 است، تاثیر میگذارد. سیسکو گفته است که هیچ سوءاستفاده ای از این آسیبپذیری مشاهده نشده است، و نیاز مهاجم برای وارد شدن به رابط کاربر برای راه اندازی حمله تا حدی از شدت مشکل میکاهد. |
آسیب پذیری (CVE-2018-0304) نیز که دارای درجه اهمیت بحرانی است مربوط به نرم افزارهای Cisco FXOS Software و Cisco NX-OS Software است. این دو نرم افزار در بعضی محصولات مثل سوییچ یا دیوار آتش کاربرد دارند. این آسیب پذیری میتواند باعث انکار سرویس یا اجرای کد دلخواه در قالب کاربر root شود. |
سیسکو همچنین برای دو آسیبپذیری متوسط ??در نرم افزار FireSight وصله ارسال کرد. اولین آسیبپذیری ( CVE-2018-0383 ) است که در موتور تشخیص FireSight یافت شده است. یک مهاجم از راه دور بدون احراز هویت می تواند یک اتصال FTP مخرب برای انتقال یک فایل به دستگاه آسیبپذیر درست کند. |
آسیب پذیری دوم ( CVE-2018-0384 ) می تواند برای مهاجم امکان دور زدن سیاست کنترل دسترسی مبتنی بر URL را بدون احراز هویت فراهم کند. |
یکی دیگر از آسیبپذیریها ( CVE-2018-0366 ) آسیبپذیری XSS در رابط مدیریت سیسکو مبتنی بر وب Web Security Appliance است. |
با استفاده از مهندسی اجتماعی، یک مهاجم می تواند کاربر رابط را متقاعد کند که بر روی پیوند خاصی کلیک کند که پس از آن مهاجمان را قادر به اجرای کد اسکریپت دلخواه می کند. |
سیسکو همچنین یک آسیب پذیری انکار سرویس در StarOS IPv4 را با درجه اهمیت بالا با کد ( CVE-2018-0369 ) پیدا کرده است. StarOS برای سروس دهی نسل جدید تلفنهای همراه که شامل تبلت ها و گوشی های هوشمند، اتومبیل های متصل به هم، شهر هوشمند و دیگر برنامه های IoT است، به کار گرفته میشود. |
در تست امنیتی داخلی یک آسیب پذیری در منطق بسته بندی مجدد IPv4 (fragmentation) در Cisco StarOS که بر روی پلتفرمهای مجازی اجرا میشوند کشف شد. این آسیبپذیری به مهاجم امکان ایجاد وضعیت DoS را میدهد.
|
منابع:
|
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180711-wsa-xss https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180711-staros-dos |